1 / 26

Plan de Seguridad

Plan de Seguridad. Visión. Contribuir a lograr una cultura de seguridad organizacional sobre la base de confiabilidad. Operacionalizar la Visión Fortalecer / Incrementar Confiabilidad. Expresión visión Metas Expectativas Objetivos. Plan de Seguridad Elementos a integrar.

tara
Télécharger la présentation

Plan de Seguridad

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Plan de Seguridad Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

  2. Visión Contribuir a lograr una cultura de seguridad organizacional sobre la base de confiabilidad. Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

  3. Operacionalizar la VisiónFortalecer/IncrementarConfiabilidad Expresiónvisión Metas Expectativas Objetivos Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

  4. Plan de SeguridadElementos a integrar GestiónÉtica (Governance: Honesty & Integrity -Ethics) Manejo de Riesgos (Risk Management) Cumplimiento (Compliance) Estabilidad de operaciones(Business Resilience) Madurezcolectiva(Awareness & Training) Fiscalización(Monitoring) Divulgación y ajuste(Reporting, feedback & adjusting) Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

  5. Plan de SeguridadElementos a integrar • Gestión ética (Governance): • Visión • Código de Ética organizacional • Políticas • Estándares y Guías (Best Practices) • Procedimientos • Roles y responsabilidades: • Segregación de funciones • Responsabilidad (Accountability) • Métricas de cumplimiento • Compromiso con enfoque de continuidad (Business resilience) • Planificación del proceso Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

  6. Plan de SeguridadElementos a integrar • Manejo de riesgo: • Identificación de riesgos y Gap Analisys • Metodologías y estándares: • NIST SP 800-12, 14, 18, 26, 30, 37 • Octave • CobIT & ValIT • COSO • ISO 17799:2002 & ITIL • OCEG Red Book • RFC 2196 Site Security Handbook • PCI & VISA Cardholder InfoSec Program • Controles y métricas: • Preventivos • Mitigación • Correctivos • Avalúo de controles Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

  7. Plan de SeguridadElementos a integrar • Avalúo regulatorio (Legal Assessment): • Identificación del entorno regulatorio aplicable • Estimación de impacto organizacional • Integración y contacto con asesores legales externos • Cumplimiento con regulaciones (Compliance): • Tecnológicas(IT Regulatory Compliance) • Operacionales(Non – IT Regulations) • De la industria o negocio (Industry related regulations) • Gestión de incidentes: • Manejo de evidencia electrónica • Computación forense • Integración y contacto con agencias del orden público Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

  8. Plan de SeguridadElementos a integrar • Estabilidad y confiabilidad (Business resilience): • Continuidad de operaciones (Business Continuity Plan) • Recuperación frente a desastres (Disaster Recovery Plan) • Confiabilidad en permanencia(Business Resilience) • Madurez colectiva organizacional: • Plan de concienciación (Awareness & Training Plan) • Lealtad y compromiso del personal (Employee Adherence) • Responsabilidad personal (Non-Compliance consequences) • Métricas de cumplimiento Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

  9. Plan de SeguridadElementos a integrar • Avalúo de sistemas: • Configuración de sistemas y servicios • Pruebas de sistemas y de TI’s • Autenticación y controles de acceso • Análisis de vulnerabilidades (Vulnerability Assessment) • Administración de seguridad de la Red( Network Security Administration) • Respuesta a incidentes (Risk and Emergency Response): • Comité de Emergencias • Procedimientos: detección, respuesta, recuperación y corrección • Comunicación y colaboración Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

  10. Plan de SeguridadElementos a integrar • Fiscalización de cumplimiento (Monitoring): • Sistémico Systemic monitoring • Periódico mediante: • Auditorías internas • Auditoriás externas • Auditorías por agencia(s) reguladoras • Divulgación y ajuste (Reporting, feedback & adjusting): • Divulgación de hallazgos (Disclosure) • Mitigación efectiva (Remediation & Due Dilligence) • Actualización y ajustes (Plan modification & update) Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

  11. Impacto del Plan Redifinición de Prácticas Modificación de Roles Integración de tecnologías Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

  12. Redefinición de prácticas Políticas Procedimientos Guías o prácticasgeneralmenteaceptadas Manuales Controles Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

  13. Redifinición de PrácticasPolíticas de Seguridad • Fisica & Lógica • Usoaceptable de la(s) tecnología(s): • Estaciones de trabajo • Navegación • Servidores y servicios en red • Laptops-Netbooks • Telefonía integral • Unidades de almacenamientomóviles (Pen/Jump drives) • Herramientas de comunicación: • Correoelectrónico • Mensajeríainstantánea & Chat • Sedesvirtuales de socialización • Servicios de conexión (P2P) y transferencia de archivos • Servicios de transmisión de voz & vídeo • Acceso local y remoto a servicios • Autenticación • Copias de resguardo • Auditoría (monitoring) de la seguridad Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

  14. Redefinición de prácticasSeguridad & confiabilidad de la información • Flujo de información (entre & dentro) procesos: • Seguridad de los depósitostransitorios y permanentes • Controles y protecciónmientrasnavegadentro de la organización • Controles y proteccióncuando sale del perímetro • Integridad de la información: • Disponibilidad(a tiempo, precisa, completa, actualizada) • Certeza de suveracidad e integridad(no adulterada accidental o intencionalmente) • Protegidafrenteaccesoindebido(ie. Cifrada) • Reproducible de forma consistente • Recuperable en caso de destrucción o pérdida Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

  15. Redefinición de prácticasImpacto en procesos (BPR) • Balance entre seguridad y necesidad de acceso: • Controlesefectivosquecontribuyan a la eficiencia • Protección de la privacidadasegurandocumplimiento • Acopio de métricasparaestimarproductividad y efectividad(tecnología(s) & control(es)) • Implicaciones de seguridad en procesoscríticos: • Disponibilidad ATH/DTP • Intercambio/Integración de información entre procesos • Integridad de almacenes de datos/transacciones • Impacto en Human-Computer Interaction: • Integración de servicios & aplicaciones & herramientas • Destrezastecnológicas & dominio de procesos • Apoyotécnico (interno/externo) Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

  16. Redefinición de prácticasPrácticasgeneralmenteaceptadas • Estándares de la industria • Controles: • Manuales • Sistémicos • Tecnológicos • Percepción vs. realidad Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

  17. Roles y ResponsabilidadesDistribución y “accountability” • Jerarquía de roles: • Top level management • Legal Counsel • Compliance Officer • Internal auditor • Security Officer • IT • Human Resources • Business units • Responsabilidades IT: • Descripción plazas – tareas – competencias • Distribución de tiempo • Asignación de recursos • Fiscalización de cumplimiento Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

  18. Integración de tecnologías • Diseñoestratégico de seguridad: • ¿Quécontrolar? • ¿Cuálescontrolesintegrar? • ¿Quémedidas de respuesta? • Implantación: • Herramientas • Afinamiento • Fiscalización: • Baselines • Patrones o Tendencias • Acción: • Comité de respuesta • Alertas y nivel de escalada • Controles de mitigación y recuperación • Avalúo: • Periódico • Extraordinario Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

  19. Segmentación del ámbito de protección de seguridad • Tecnología: • Controles de acceso • Copias de resguardo • Cifrado • Control y fiscalización de la(s) Red(es): • Firewall’s • Proxy’s • IDS/IPS – Net & Hosts • Net Monitoring & Net Scanning • Configuración, Parchos y Actualizaciones • Redundancia y replicación • Personas: • Políticas • Plan de concienciación • Programa de seguridad (Security Plan- IR, DR & BC) Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

  20. Integración de tecnologíasÁreas particulares (Outsourcing) • Sistemas y/o Servicios: • Instalación & Mantenimiento • SaaS • Cloud computing • Fiscalización de la infraestructura (red) • Prevención y recuperación: • DRP • BCP • Prevención y anticipo (nuevastendencias): • Computaciónforense • Análisis de penetración • Análisis de vulnerabilidades Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

  21. Integración de tecnologíasÁreas particulares (Cumplimiento con IP) • Protección de propiedadintelectual: • Terceros • Proveedores • Organización • Control de duplicación o diseminación: • Programación • Bancos de datos • Secretos de negocio • Publicaciones en medioelectrónico • Digital Rights Management Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

  22. Referencias OCTAVE COBit ValIT Ernst & Young Network Security Illustrated, Albanese & Sonnenreich, McGraw Hill, NY, 2004 Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

  23. Plan de Seguridad Otras Referencias Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

  24. Cultura de Seguridad Modelo Organizacional de confiabilidad Modelo CobiT CobiT Security Baseline ISACA, Business Model for Information Security UCISA Information Security Toolkit Solutionary, Security Measurement Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

  25. Governance, Risk And Compliance NIST Risk Management Guide NIST Risk Management Framework GAO, Information Security Risk Assessment ITCi, Risk Management: Practical guidance on how to prepare for successful audits IT Policy Compliance Group – CMM Capabilities practices IT Governance Institute, Information Risks IT Governance, Risk & Complaince (Basado en CobiT) OCEG, Foundation Guidelines (RedBook) OCEG, GRC Capability Model (Redbook) Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

  26. Otrasreferencias Deloitte, Defining and Classifying Operational Risk, 2007 NIST Risk Management Framework – Roles & Responsibilities CERT, First Responders Guide to Computer Forensics NETYK Technologies, Auditoría de Sistema y políticas de Seguridad Informática Amador et als., Seguridad Computacional ent, Network Auditing Strategies CyberIntelligence Report (2009) Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

More Related